Cu ocazia evenimentului GDPR Talks din 21 mai 2019, Cătălin GLIGAN Marketing Coordinator la ESET Romania (Axel Soft IT Group) a susținut o prezentare despre modul în care soluțiile de criptare și DLP oferite de ESET pot ajuta companiile în asigurarea unui nivel optim de conformitate privitoare la protecția datelor personale.

Catalin Gligan

În deschiderea prezentării au fost subliniate câteva dintre rezultatele unui studiu de piață realizat de IDC la solicitarea ESET. Studiul, care a vizat peste 700 de organizații din 7 țări relevă faptul că amenințările legate de securitatea datelor sunt principalele cauze ce determină breșe la nivelul securității datelor personale. Conform studiului, peste 300.000 de atacuri malițioase sunt semnalate zilnic, 40% din companiile chestionate au suferit cel puțin o breșă de date, iar 67% au raportat costuri asociate breșelor de peste 10.000 Euro

Printre cele mai serioase amenințări generate de breșele de date trebuie luate în considerație: costurile asociate atacurilor malware, pierderea datelor despre clienți, diminuarea încrederii clienților, indisponibilitatea site-ului Web, pierderea capacității operaționale și în cele din urmă pierderea clienților.

Compania ESET oferă un larg spectru de soluții de Securitate deosebit de utile în asigurarea conformității GDPR, printre care soluții pentru securizarea prin criptarea datelor, pentru autentificare securizată, precum și pentru prevenirea scurgerilor de date.

Cea mai veche măsură de precauție: criptarea datelor senzitive

Criptarea este una dintre măsurile de asigurare a integrității datelor recomandată de GDPR prin conceptul Privacy by Design și by Default. În Art.25., Alin.1 – Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit se arată că: ”Având în vedere stadiul actual al tehnologiei, costurile implementării, şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.” Totodată, operatorul trebuie să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor.

Mai mult de atât, în Art. 32, Alin.1 – Securitatea prelucrării se precizează: ”(…) operatorul şi procesatorul implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător (…), incluzând printre altele, după caz:

  1. pseudonimizarea şi criptarea datelor cu caracter personal;
  2. capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
  3. capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  4. un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. (…)”

Tehnologia este un mijloc stabilit de protejare a informațiilor vulnerabile în caz de furt sau de  pierdere. GDPR face referire de asemenea la necesitatea existenței unor planuri eficiente de restaurare în caz de dezastru, la proceduri de recuperare a parolei și de gestionare a cheilor.

Unul dintre principiile cheie al GDPR este asigurarea securității corespunzătoare a datelor cu caracter personal. Criptarea este considerată o măsură tehnică adecvată pentru a realiza acest lucru. În cazul în care criptarea este utilizată ca o măsură tehnică, ea trebuie să fie însoțită de posibilitatea restabilirii datelor imediat după un incident, iar înregistrările trebuie să fie păstrate pentru a dovedi permanent că sistemele sunt sigure și recuperabile.

Dintre toate aceste recomandări, tehnologia de criptare este un mijloc simplu, stabil și solid de asigurare a acestor măsuri tehnice și organizatorice adecvate. Criptarea datelor sensibile din sistemele companiilor care colectează astfel de date poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri de medii sau fișiere. ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor, prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivitate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se distinge prin flexibilitate și ușurință în utilizare.

Soluția Endpoint Encryption asigură:
  • Criptare simplă și puternică (full disk, partiție, folder, fișier, email) pentru organizațiile de toate dimensiunile, criptând în siguranță fișierele de pe hard disk-uri, dispozitivele portabile și documentele trimise prin e-mail
  • Certificare: criptare FIPS 140-2 cu validare 256 bit AES;
  • Server de management hibrid bazat pe cloud pentru un control complet de la distanță a cheilor de criptare endpoint și a politicii de securitate;
  • Suport extins pentru Windows 10, 8, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS. La nivel de client este necesară o interacțiune minimă cu utilizatorul, securizarea datelor companiei fiind posibilă prin instalarea unui singur pachet MSI.La nivel de server se asigură administrarea avansată, în grupuri, a utilizatorilor și a stațiilor de lucru și se extinde protecția companiei dincolo de rețeaua proprie.

Una dintre noutățile noului Regulament UE 679/2016 este introducerea obligativității notificărilor către Autoritatea de Supraveghere a oricărei  încălcări a securității datelor cu caracter personal, nu mai târziu de 72 de ore după ce organizația în cauză devine conștientă de breșa respectivă. În plus, atunci când încălcarea securității datelor poate duce la un risc ridicat în privința drepturilor și libertăților persoanelor fizice, operatorul de date personale este obligat să comunice apariția breșei către persoana vizată, fără întârzieri nejustificate.

Dar e bine să ținem cont de faptul  că nu este necesară notificarea breșelor dacă operatorul a pus în aplicare măsuri tehnice de protecție și de organizare adecvate, iar aceste măsuri au fost aplicate în prealabil datelor afectate în urma breșei, în special măsuri prin care datele personale scurse să nu poată fi accesate de persoane neautorizate, cum ar fi criptarea.

Criptarea este considerată fără dubiu o garanție suficientă pentru a exclude aceste riscuri și consecințele implicite pentru reputația corporativă. Soluția ESET Enpoint Encryption este disponibilă pentru descărcare în versiune de evaluare (trial) pe http://www.eset.ro, alături de multe informații utile care analizează în detaliu cerințele GDPR și modul în care acestea sunt acoperite de soluția de criptare ESET.

Securizarea autentificării

One Time Password – Two Factor Authentification.

Una dintre marile probleme ale politicilor interne de Securitate IT este respectarea unor reguli foarte stricte de stabilire și utilizare a parolelor. Multe dintre vulnerabilitățile de securitate care apar într-o organizație, de natură internă sau externă, se datorează folosirii unor parole slabe, păstrarea aceleiași parole pe o perioadă foarte mare de timp sau utilizarea aceleiași parole pentru mai multe conturi de utilizator. ESET oferă o soluție dedicată pentru securizarea autentificării prin validarea identității utilizatorilor cu One Time Password – Two Factor Authentification.

Soluția rezolvă problema:
  • Parolelor ușor de prezis sau sustras
  • Parolelor statice care pot fi interceptate
  • Parolelor simple care nu conțin combinații aleatoare
  • Reutilizării parolelor conturilor din companie pentru conturi private
  • Parolelor care conțin informații legate de utilizator (data de naștere, nume)
  • Variațiilor simple prin care sunt derivate noi parole, ex: “mihai1”, “mihai2”, etc.

Prevenirea pierderilor de date

Safetica DLP
Soluția ESET care contribuie la asigurarea conformității GDPR prin prevenirea pierderilor de date se numește Safetica –DLP. Soluția urmărește traseul documentelor sensibile: cine le deschide și cum sunt gestionate, oferind și un ghid de utilizare al documentelor bazat pe reguli clare pentru persoanele care pot opera cu date sensibile. Iată câteva dintre avantajele oferite:
  • Găsește fișiere greșite – Împiedică pătrunderea unor fișiere importante în a intra pe mâini greșite,  în interiorul sau în afara unei organizații, și avertizează managementul față de potențialele pericole.
  • Detectează atacurile – Safetica identifică atacurile de tip social engineering și încercările de șantaj în etapele inițiale, împiedicându-le să dăuneze companiei dvs.
  • Criptează datele pentru a preveni utilizarea greșită – Datele importante sunt protejate chiar dacă laptopurile sau unitățile de memorie externă sunt pierdute sau furate. Întregul disc sau fișierele selectate rămân criptate și greu de citit.
  • Gestionează resursele – Safetica controlează utilizarea imprimantei, aplicațiile și limitează activitățile online excesive. Ea identifică schimbările în productivitate pentru a descoperi tendințele potențial periculoase în timp util.

Totodată, Safetica – DLP asigură:

Soluție DLP completă – prin capacitatea de prevenire a pierderilor de date, Safetica acoperă o gamă largă de evenimente și domenii, ajutând organizația să prevină incidentele nedorite.

Raportarea și blocarea activităților – Raportează toate operațiile de fișiere, tendințele pe termen lung, fluctuațiile pe termen scurt în activitate, toate site-urile Web, e-mailurile și webmail-urile, mesageria instantanee, imprimantele, activitatea pe ecran și keylogging-ul.

Litigii și zone de prevenire a pierderilor de date – Extinde la toate unitățile de hard disk, transferul de fișiere în rețea, e-mailuri, SSL / HTTPS, imprimante, Bluetooth, cititoare și înregistratoare CD / DVD / BluRay, controlul accesului la fișierele aplicației și detectarea și restricționarea discurilor în Cloud. Versiuni Safedica DLP sunt disponibile pentru Safetica Endpoint Client, Safetica Management Services & SQL database, Safetica Management Console și WebSafetica.

Concluzionând, soluția Safetica oferă organizațiilor o experiență DLP completă care acoperă o gamă largă de funcții de securitate pentru amenințările care provin dintr-o sursă comună – factorul uman. Safetica previne scurgerile de date accidentale, demascând acțiunile rău intenționate, problemele de productivitate, pericolele BYOD și shadow IT. Mai mult, filosofia de securitate este bazată pe trei atuuri majore: caracterul complet, flexibilitate și ușurința de utilizare.

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR